gitmedia/presseportale
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
presseportale/resources/views/livewire
History
Kevin Adametz f4ca452c6b Security: 2FA-Bypass beheben & Login-Pfade konsolidieren 
Befund (Review 16.06.): Der Volt-Login machte direkt Auth::attempt() und umging
Fortifys 2FA-Pipeline (2FA-Bypass); zusätzlich existierte der Fortify-POST /login
parallel mit schwächeren Post-Login-Regeln.

Fix (Volt-nativ):
- Volt-Login prüft Credentials ohne sofortiges Login; bei aktivem 2FA wird der
  Session-Vertrag login.id/login.remember gesetzt und auf eine neue Volt-
  2FA-Challenge-Seite (/two-factor-challenge) geleitet, die an Fortifys
  bestehenden Controller postet (TOTP + Recovery-Code).
- Gemeinsame Post-Login-Logik in App\Support\LoginRedirect (rollengerechtes
  Home + 403-sicherer intended-Redirect), genutzt von Volt-Login UND Response.
- RoleAwareLoginResponse implementiert jetzt LoginResponse UND
  TwoFactorLoginResponse und erzwingt einheitlich: unverifiziert → Notice,
  verifiziert-inaktiv → Logout+Fehler, sonst 403-sicherer Redirect. Damit ist
  auch der direkte Fortify-POST-Pfad gehärtet.

Tests: 2FA-Übergabe, Challenge-Guard, voller TOTP-Flow, Fortify-POST blockt
inaktive User und hält Customer aus dem Admin-Bereich.

Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
2026-06-16 10:00:15 +00:00
..
admin KI-generierte Bilder: eigener Lizenztyp, Anbieter-Bestätigung, Kennzeichnung 2026-06-12 16:04:12 +00:00
auth Security: 2FA-Bypass beheben & Login-Pfade konsolidieren 2026-06-16 10:00:15 +00:00
components PM-Vorschau: Firma & Pressekontakt zusammengeführt, Sprache als Badge am Portal 2026-06-12 16:11:57 +00:00
customer WS-2: Firmen-Scope für PMs & Magic-Link-Zugang für Pressekontakte 2026-06-16 08:33:12 +00:00
settings Rebrand Hub+Flux 2026-05-20 15:44:15 +02:00
web 12-05-2026 Frontend dev 2026-05-12 18:32:33 +02:00
notifications.blade.php first commit 2025-10-20 17:53:02 +02:00